ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

О защите персональных данных или давайте защищать то, чего нет

Защита ПДн

Закон Украины "О защите персональных данных" вступил в силу с 01.01.2011 года, и, казалось бы, прошло достаточно времени, чтобы разобраться если не в тонкостях, то хотя бы в основополагающих требованиях этого закона, как говорится, понять "дух" этого законодательного акта. Однако вопросов меньше не становится, меняется их качество.

Если в 2011 году должностные лица предприятий, которые ответственны за эти самые персональные данные, были озабочены вопросами: как зарегистрировать эти данные, как заполнить заявки, до какого числа это сделать, как назвать эти данные?, то сейчас все чаще задаются вопросом: что со всем этим делать? И не случайно.

Зарегистрировав базу данных, необходимо разработать положение об обработке базы данных, назначить ответственных за сохранность этих данных, очертить круг лиц, имеющих к ним доступ, собрать письменные согласия на обработку и письменные подтверждения о том, что субъекты персональных данных уведомлены об обработке, хранении его данных и т.д. и т.п.

Огромные штрафы за невыполнение требований закона, как говорится, стимулировали к тому, что регистрировали даже те базы данных, которыми предприятие в принципе не обладает. Некоторые предприятия, зарегистрировав базу данных "Контрагенты", решили, что имеющиеся сведения на директора предприятия в договоре между юрлицами, являются базой данной. А поскольку это база данных, то необходимо к этой базе иметь целый "пакет документов". Вполне естественно, что собрать расписки с разрешениями и уведомлениями с руководителей предприятий не так-то просто.

Поскольку каждый задавался вопросом: а какие сведения вы обо мне имеете? А действительно, какие? Давайте разберемся.

Стандартная фраза в договоре: Фирма ХХХХ в лице директора Иванова Ивана Ивановича, действующего на основании устава, с одной стороны, и фирма УУУУ в лице директора Петрова Петра Петровича, с другой стороны, заключили настоящий договор о нижеследующем... Так какие сведения о руководителе контрагента составят базу персональных данных? То, что Иванов Иван Иванович является директором фирмы ХХХХ, или Петров Петр Петрович фирмы УУУУ.

В соответствии с Законом Украины "О защите персональных данных" база данных – это именованная совокупность упорядоченных данных в электронной форме или в форме картотек персональных данных. Персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Ясно, что, во-первых, только по Ф.И.О. идентифицировать человека невозможно, во-вторых, имеющиеся сведения должны составлять картотеку с упорядоченными сведениями.

Согласно вышеназванному закону, база персональных данных подлежит обработке. С точки зрения закона, обработка персональных данных – это любая совокупность действий, осуществляемых полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением, обезличиванием, уничтожением сведений о физическом лице. А теперь давайте определимся, что мы имеем, как храним, как систематизируем, как обрабатываем сведения о том, что есть некий Иванов Иван Иванович, директор фирмы ХХХХ. Я отвечу: никак.

Есть еще один интересный момент. Согласно закона "О защите персональных данных" персональные данные подлежат защите. Это и понятно, для этих целей и принимался закон. В соответствии со ст.5 п.2 закона персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом. А разве информация о том, что Иванов Иван Иванович является директором фирмы ХХХХ – закрытая информация? Конечно нет. А тогда что охранять?

Я вовсе не призываю игнорировать закон, наоборот, призываю всех к неукоснительному соблюдению закона. Рекомендую всем не создавать мифических баз данных, которых нет на предприятии, а регистрировать и охранять реальные базы данных. И подходить к этому очень серьезно. Я вовсе не отрицаю наличия у некоторых субъектов предпринимательской деятельности базы данных "Контрагенты" или "Клиенты". Ни в коем случае. Но создание базы данных должно иметь сформулированную цель создания и обработки.

Например, каждый из нас оформлял когда-то в каком-то магазине дисконтную карточку. При оформлении этой карточки мы заполняли анкету, в которой указывали: Ф.И.О., дату рождения, телефон, адрес. Спустя какое-то время, мы стали получать поздравительные открытки с днем рождения, пригласительные посетить магазин и воспользоваться скидками, получали различную рекламную информацию. То есть с данными, которые мы оставили у продавца в анкете, работали, эти данные обрабатывали. Владеет такой субъект предпринимательской деятельности базой данной "Клиенты"? Без сомнения – да. Цель обработки ясна? Да. Это проведение рекламных акций, реализация маркетинговой политики.

И другой пример: предприятие или предприниматель отпускает продукцию физлицам и юрлицам. Физлица приходят, оплачивают, получают товар и уходят. Некоторые физлица-предприниматели, оплатившие товар через банк, при получении предъявляют документ, удостоверяющий личность. Юридические лица получают товар через представителей по доверенности. В доверенности указываются обычно паспортные данные представителя и его фамилия, имя, отчество. Таким образом, у продавца могут оставаться отдельные сведения о физических лицах- получателях, но эти данные никак не систематизируются. Их получение продиктовано требованиями различных нормативных актов ( например, инструкцией о порядке выдачи доверенности или др.) Эти сведения никак не обрабатываются, не систематизируются. Будет в этом случае персональная база "Клиенты" или "Контрагенты"? На мой взгляд – нет.

Хотелось бы отметить, что идея международных стандартов по защите персональных данных, под которые принят был наш закон, заключается в том, чтобы установить требования и стандарты в отношении систематизированных сведений, по которым можно идентифицировать лицо, а не любые разрозненные данные о лице, даже если по ним его можно идентифицировать. В своем письме-разъяснении от 21.12.2011 года "Некоторые вопросы практического применения ЗУ "О защите персональных данных" Минюст отметил, что в случае, если физлица-предприниматели заключают договора о выполнении работ, оказании услуг с физлицами, такие договора не являются базой персональных данных и не подлежат государственной регистрации. В письме отмечено, что предприниматели сами определяют наличие или отсутствие базы данных.

От себя добавлю, что определять наличие или отсутствие надо не по принципу: хочу или не хочу, а основываясь на требования закона.

Автор статьи: Елена Кротова


ЛИГА.Блоги (14.03.2012 в 11:39) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"